部署雲端治理基礎

  • 10 分鐘

部署雲端治理基礎可提升您治理整個 Azure 環境的能力。 本單元概述部署基礎來達成資源一致性,以及為您在其他治理專業領域做好準備時,所需進行的考量和實作。

您將設定哪些項目?

本單元假設您已將資產部署至 Azure。 您現在想要設定環境,以更好地整理、追蹤並治理這些資產。 完成本單元之後,您會了解設定管理群組、訂用帳戶設計、資源群組和標記的「原因」和「做法」

策略考量

資源組織取決於對組織而言很重要的是什麼。 在定義管理群組或訂用帳戶設計前,請務必了解這些會造成優先順序拉鋸的項目:

  • 成本透明度:所有雲端採用都應該與部門、業務單位、專案或其他成本配置機制保持一致,以符合帳單/記錄 (chargeback/showback) 的會計需求。
  • 合規性與安全性:每個雲端採用都必須與特定的合規性需求相互對應,將雲端採用對應至特定風險、安全性以及合規性組織結構。
  • 民主化 (委派責任):每個雲端採用都必須與小組、產品組合或專案相互對應,讓小組能夠更輕鬆地劃分責任。

了解這些策略優先順序,有助於找出管理與訂用帳戶設計的最佳起點。

Azure 中的資源組織

所有治理的基礎為一致的資源組織。

Image that demonstrates the Resource Consistency baseline as a hierarchy of resources.

圖1:資源一致性。

資源組織的三項重點要素如下:

  • 管理群組,其會反映安全性、營運與業務或會計階層。
  • 訂用帳戶,其會將類似的資源分組為邏輯界限。
  • 資源群組,其可進一步將應用程式或工作負載分組到部署與營運單位。

治理設計考量

為了因應長期治理需求,請設計一個具有高層級的階層,但僅實作您所需要的層級。 視需求將新節點新增至階層。

Image that demonstrates management group hierarchy.

圖 2:管理群組階層。

下列元件在圖 2 所示的管理群組階層中以遞減層級排列:

  • 管理群組:業務單位、地理位置和環境
  • 訂用帳戶:每個應用程式類別、生產前階段、開發環境以及生產
  • 資源群組:每個應用程式

練習:設定第一個管理群組階層

從較小的階層開始,使得您可以實驗並快速克服初始的學習曲線。

Diagram of a reduced-size management group hierarchy.

圖 3:較小的初始管理群組階層。

在此較小的版本中,嘗試下列設定步驟:

  • 父節點:為公司 IT 定義管理群組。
  • 子節點:定義每個實際執行環境與非實際執行環境的子節點。

如需建立這些管理群組的指導,請參閱快速入門指南:在 Azure 入口網站中建立管理群組

訂用帳戶設計

訂用帳戶是所有已部署資產的邏輯容器。 訂用帳戶可用來根據計費、合規性、安全性或存取需求將一般工作負載分組在一起。 為了充分發揮治理的效益,您應該盡可能使用最少量的訂用帳戶。

Diagram of two separate subscriptions, one labeled production and one labeled nonproduction.

圖 4:生產和非生產訂用帳戶。

使用訂用帳戶調整規模

使用多個訂用帳戶調整規模具有幾項技術性與非技術性的原因。 如需了解規模調整的常見原因,請參閱基本概念文章

下列問題可能有助於說明調整訂用帳戶規模的原因:

  • 是否有容量或技術方面的限制?
  • 是否需要明確區分疑慮? 例如:
    • 職責區分
    • 開發/測試環境與一般非生產環境
    • 不同的客戶
    • 不同部門或業務單位
    • 不同的專案
  • 您是否能夠將此共用基礎結構的成本分散給應用程式擁有者? (通常會將專用訂用帳戶用於共用基礎結構,例如 Microsoft Entra ID、監視或修補工具。)
  • 您是否需要透過共用的服務訂用帳戶,以為營運管理、安全性、身分識別同步作業、連線能力或 DevOps 小組建立更明確的責任劃分?

練習:將訂用帳戶新增至管理群組

在每個環境節點中新增現有的訂用帳戶,以為實際執行環境、開發環境以及 QA 資源明確分工。

Screenshot that shows adding a subscription to a management group in the Azure portal.

圖 5:新增訂用帳戶至管理群組。

如需將訂用帳戶新增至管理群組的指導,請參閱操作指南

標記

管理群組會反映出最優先的組織結構。 標記會反映也會在中繼資料中反映的各種組織準則。 以下是所有工作負載的建議標記:

  • 工作負載 (和/或應用程式)
  • 資料敏感度;請參閱資料分類的範例
  • 任務關鍵性;請參閱工作負載重要性的範例
  • 負責人
  • 部門 (成本中心)
  • 環境

練習:指派標記原則

您可以將 Azure 原則套用至管理群組中的所有訂用帳戶。 若要了解治理基礎中的原則角色,請將原則套用至階層中的其中一個管理群組。

Screenshot that shows assigning a policy in the Azure portal.

圖 6:在 Azure 入口網站中指派原則。

如需套用原則的指導,請參閱建立與管理原則教學課程

  • 指派原則指示的步驟 4 會探討範圍。 在此步驟中,您會選取管理群組,以確保原則會套用至管理群組中的所有訂用帳戶。
  • 步驟 6 和 7 會討論原則定義。 在 [內建] 原則的清單中,建議選取其中一個與標記相關的原則。 具體而言,需要在所有資源加上標記的原則將有助於建立治理基礎。

重要

教學課程中的步驟 9 說明原則強制執行。 在了解治理的同時,請務必將 [原則強制執行] 設定為 [已停用]。 停用此設定時,您可以在不進行任何變更的情況下稽核您的環境,而且不會防止未來的部署。

部署加速

將所有治理變更封裝到藍圖中,可加速部署並建立一致的治理應用程式。 當我們在下一個練習中指派藍圖時,系統會將治理一致地套用至已指派管理群組中的所有訂用帳戶。 其也會套用至這些訂用帳戶中的所有資源群組和資產。

練習:指派 CAF Foundation 藍圖

使用 Azure 藍圖將 Azure Resource Manager 範本、Azure 原則以及角色型存取控制設定封裝為單一套件。 適用於 Azure 的雲端採用架構 (CAF) Foundation 藍圖可提供範例與起點,讓您在雲端治理中使用藍圖來執行下列動作:

  • 部署 Azure Key Vault
  • 將 Log Analytics 部署在 Azure 監視器記錄中
  • 部署適用於雲端的 Microsoft Defender (標準版)

CAF Foundation 藍圖也會定義並部署原則,以便:

  • cost center 標籤套用至資源群組
  • 為資源群組中的資源附加 cost center 標記
  • 允許 Azure 區域使用資源與資源群組
  • 允許儲存體帳戶 SKU (部署時選擇)
  • 允許 Azure 虛擬機器 SKU (部署時選擇)
  • 需要部署 Azure 網路監看員
  • 要求 Azure 儲存體帳戶使用安全傳輸加密
  • 拒絕資源類型 (部署時選擇)
  • 建立在適用於雲端的 Microsoft Defender 中啟用監視的計畫 (89 個原則)

遵循指定步驟,以發佈與指派此範例藍圖至管理群組

練習:評估目前的環境

客戶通常會嘗試在多個訂用帳戶之間,將治理加入現成且完善的採用成果。 在讓組合中治理做法更加完善的同時,Azure 治理視覺化檢視可為目前的治理設定提供深入解析。

Diagram of the Azure Governance Visualizer.

圖 7:Azure 治理視覺化檢視。

部署 Azure 治理視覺化檢視,以查看如何在環境中套用管理群組、藍圖、原則以及其他治理設定。

這些練習有助於示範治理的起點或基礎。 在下個單元中,我們將在這個基礎上建立完善的成本管理專業領域。